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(57) Abstract: 'llie invention concerns a method Ibr en- 
crypting, with a random quantity (r), a calcuJalion u.sing 
at least a modular operation (3), the method con.sisiing in 
multiplying a linjt mcxlulo (n) by said random quantit)', in 
taking as modulo of the operation, the result (m) of said 
multiplication and in carrying out a modular reduction of 
the result of the operation, on the basis of the first modulo 
(n). 

(57)Abr^^ : U invention concemc un proccd^ de 
brouillage, au moyen d*une quantity aleatoire (r), 
d'un calcul mettant en oeuvre au moins une operation 
modulaire (3), le procedc consistan! h multiplier un 
premier modulo (n) par Jadiic quantity aleatoire, a prendre 
comme modulo de T operation, le resultai (m) dc cetle 
muUipli cation et h effect uer une rL»duciion modulaire du 
resullat de I'oi^^ration, sur la base du premier modulo (n). 
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BROUILIiACffi D"UN CALCUL METTANT EN OEUVRE UNE FONCTION MODULAIRE 

La presente invention conceme la protection d'lme cle 
ou donnSe secrete (mot binaire) utilises dans un processus 
d'authentification ou d" identification d'un circuit electronique 
(par exemple, une carte a puce) ou analogue, contra des tenta- 
5 tives de piratage. L' invention conceme plus particulierement le 
brouillage des calculs prenant en compte la donnee secrete • Par 
brouillage, on entend une modification des caracteristiques 
physiques observables (consommation, rayonnements thermique, 
electromagnetique, etc.) induites par le f onctionnement d'un 

10 composant. 

Un exerrple d' application de la presente invention 
conceme ion processus de contre-mesure contre une attaque par 
analyse de la consommation directe (Simple Power Analysis, SPA) 
ou statist ique (Differential Power Analysis, DPA) d'un circuit 

15 de traitement numSrique exploitant vne donnee privee ou secrdte. 
Une telle attaque par analyse de la consommation constitue une 
attaque susceptible d'gtre utilis^e aujovird'hui par des pirates 
pour tenter de d€couvrir une clS num§rique ou analogue. Ifeie 
telle attaque consiste a evaluer la dSpendance directe ou 

20 statistique entre la consommation du circuit et 1 'utilisation de 
donnSes numeriques traitees par ime puce et faisant intervenir 
une quantity secrete. En effet, dans \m traitement algorithmique 
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au moyen d'lm circuit de traitement, il existe une dSpendance 
entre la consonnnation du circuit et la donnSe tredtSe. Le pirate 
utilise la ou les donnSes introduites dans le circuit, done 
"visibles", et utilisees par I'algorithme, afin de determiner la 
5 donnee secrete enfouie dans le circuit, en examinant sa 
consonnnation lors de 1' execution de I'algorithme. 

Afin de rendre plus difficile les attaques par analyse 
dif ferentielle de consommation, on cherche generalement a rendre 
independantes les donnSes visibles des donnees traitees. Par 
10 donnees visibles, on entend les mots binaires introduits dans le 
circuit de traitement algorithmique et extraits de ce circuit. 
Le calcul proprement dit, qui influence le plus la consommation 
du circuit, s'effectue alors sur une donnSe modifiee ou 
brouillSe . 

Generalement, on utilise une valeur aleatoire pour 
conveirtir la donnSe introduite en une donnee brouillge 
participant au calcul. 

La figiare 1 reprSsente, sous forme d • organigramme tres 
sch^matique, un exorple classique de precede de traitement d'une 
2 0 donnge A introduite dans une puce d'authentification par un 
algorithme de calcul realisant une operation modulaire. L' intro- 
duction de la donnee A est symbolisee en figure 1 par un bloc 1 
(IN) . La donnee A est ensuite convertie en une donn6e A' (bloc 
2) en utilisant une quantity aleatoire r. Cette conversion 
25 consiste, par exemple, ^ appliquer une operation arithmetique 
aux opgrandes A et r. La doimie A' sijbit le calcia de la 
fonction d'authentification (bloc 3) . Ce calcul consiste a 
effectuer une operation B' = f(A') modulo n, ofi la fonction f 
represente une operation arithmetique modtilaire. La taille 
30 (ncMribre de bits) du modulo n de cette fonction est generalement 
prgdeterminSe par le noiribre de bits pour lequel est prevu le 
circuit de traitement. En effet, on dimensionne gSngralement le 
noihbre de bits sur lesquels sont executSes les operations en 
fonction des moduli utilises par ces operations et des tallies 
35 maxiroales des opSrandes et resultats. 
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Dans 1' application plus particuliere de 1' invention a 
im traitement d'lm algorithme mettant en jeu une donnee secrete 
s, cette donnee est contenue dans la puce (par exemple, enre- 
gistree a demeure) et est foumie a 1» algorithme lors de 
5 1' operation de calcul (bloc 3), C'est cette donnee secrete que 
cherche S dStecter le pirate par une analyse de la consommation , 
Sans le brouillage de la donnee A en donnee A ' , ce piratage 
eventuel est facility dans la mesure ou le pirate connait la 
donnee A introduite ainsi que le modulo n de la fonction modu- 
1 0 laire . 

Un example courant de fonction arithmetique modulaire 
est 1 ' exponentiation modulaire qui consiste a appliquer la 
foimile suivante : 

B» = A'S modulo n. 

15 Une fois le resultat B" obtenu par la mise en oeuvre 

de 1' algorithme de calcul, ce resultat est converti, de fa<?on 
inverse, potir restituer une donnee B (bloc 4) qui est foumie 
(bloc 5, OUT), en sortie du circuit. La quantite aleatoire r 
doit etre memoris§e (bloc 6, MEM) entre les etapes 2 et 4, afin 

2 0 d'etre reutilisee lors de la conversion inverse appliguee au 
res\iltat de 1 ' algorithme . 

Un inconvenient des procSd^s de brouillage classiques 
mettant en oeuvre I'operande de 1' algorithme est qu'ils requie- 
rent une puissance de calcul supplementaire par rapport a la 

25 simple execution de 1 ' algorithme . En particulier, la conversion 
de B' en B requiert autant de ressources (memoire, temps de 
calcul, etc) que le calcul de la fonction meme. 

Un autre inconvenient des precedes classiques est que 
la memorisation de la quantity aleatoire r fragilise le 

30 processus de cont re -mesure a une attaque par examen de la 
consommation du circuit. 

En outre, le simple fait de devoir memoriser cette 
donnee al§atoire requiert des circuits specif iques prenant de la 
place supplementaire* 
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Le document EP-A-l 006 492 dScrit un procedS de calcul 
mettant en oeuvre une operation modiaaire dans lequel une 
quantity aleatoire est reutilisee en fin de precede. Cela 
necessite done la m^orisation de la quantite aleatoire. 
5 Le document WO-A-98 52319 decrit egalement un procedi 

de calcul faisant intervenir une quantity aleatoire. Cette 
quantite intervient dans le modulo de 1' operation et doit 
egalement etre memorisee. 

La pr^sente invention vise a proposer une nouvelle 
10 solution pour brouiller un calcul mettant en jeu au moins xme 
operation arithmgtique modulaire, qui necessite moins de ressoxarces 
de calcul que les solutions classiques, et qui evite la 
memorisation, pendant toute la duree du calcul, d'une quantite 
aleatoire intervenant dans le brouillage. 

Pour atteindre ces objets et d'autres, la presente 
invention pr^voit un procgde de brouillage, au moyen d'une 
quantity aleatoire, d'un calcul mettant en oeuvre au moins une 
operation modulaire, consistant a multiplier un premier modulo 
par ladite quantity aleatoire, a prendre comme modulo de 
1' operation, le rgsultat de cette multiplication, et a effectuer 
me r^uction modxilaire du rSsultat de 1» operation, sur la base 
du premier modulo. 

Selon un mode de realisation de la presente invention, 
ladite operation met en oeuvre au moins xme donnee d' entree 
25 ainsi qu'au moins ime donnee secrete. 

Selon vn mode de realisation de la presente invention, 
ladite donnee secrete est contenue dans un circuit ^lectronique 
mettant en oeuvre le proc^d^. 

Selon xm mode de realisation de la presente invention, 
30 ladite donnge d'entrSe est une donnee introduite dans un circuit 
Slectronique mettant en oeuvre le procedi. 

L' invention prfivoit Egalement un circuit de traitement 
nrattant en oeuvre ce precede. 

Ces objets, caracteristiques et avantages, ainsi que 
35 d'autres de la presente invention seront exposes en detail dans 



20 
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. la description suivante de modes de mise en oeuvre et de reali- 
sation particuliers faite Sl titre non- limit at if en relation avec 
les figiires jointes parmi lesquelles : 

la figure 1 illustre sous forme d'organigramme simpli- 
5 fi§, la mise en oeuvre d'un procede de calcul mettant en oeuvre 
une donnee exteme brouillSe selon I'etat de la technique ; et 

la figure 2 illustre, par un organigramme tres schema- 
tigue, un mode de mise en oeuvre du procede de brouillage selon 
la presente invention. 
10 Les memes Elements sont designes par les memes refe- 

rences aux differentes figures. Pour des raisons de clarte, 
seules les etapes du procede de brouillage et de calcul qui sont 
necessaires a la cc«iiprehension de 1' invention ont ete illustrees 
ai:ix figures et seront decrites par la suite. En particulier, les 
15 traitements affectant les donnees n'ont pas ete detailles et ne 
font pas I'objet de la presente invention. Celle-ci s' applique 
quels que soient les traitements aval et amont effectues* 

La figure 2 illustre, par xm organigramme simplifie a 
rapprocher de celui de la figure 1/ un mode de mise en oeuvre du 
2 0 procede selon 1' invention. 

Une caracteristique de la presente invention est de 
brouiller, non pl\is I'operande A introduit de I'ext^rieur (bloc 
1, IN), mais le modulo de 1* operation arithmetique modulaire 
rSalisSe . 

2 5 Ainsi, selon la presente invention, pour une fonction 

modulaire de modulo n, on tire k chaque calcul, un nombre entier 
aleatoire r et I'on multiplie ce nombre aleatoire {bloc 2») au 
modulo n. On obtient alors un nombre m qui, selon 1' invention, 
est utilise comme modulo du calcul d' authentif ication (bloc 3). 

3 0 Ce calcul met done en oeuvre directement I'operande A et le 

modulo modifie m. L' operation mise en oeuvre n'est pas modifiee 
par rapport au cas classique, Toutefois, on voit bien qu'en 
affectant le modulo de I'algorithme d'authentif ication, on 
af f ecte les valeurs respectives, done la consommation du 
35 circuit. L'objectif de brouiller le calcul est done atteint. 
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Le rSsxatat B* = f (A) modialo m doit, comme c'etait le 
cas prgcedentment (bloc 4, figure 1), etre convert i de fagon 
inverse . 

Toutefois, selon 1' invention, cette conversion inverse 
(bloc 4', figure 2) est particulierement simple. En effet, cornme 
le modulo m enploye dans 1' operation modulaire est un multiple 
de n (m = r • n) , il suf f it de reduire le nombre B » modulo n 
pour obtenir le resultat B a foumir (bloc 5, OUT) en sortie du 
circuit . 

Un avantage de la presente invention est qu'ime telle 
reduction modulaire n'engendre que peu de calculs de meme que 
1' operation multiplicative du modulo. 

Un autre avantage de 1 ' invention est qu'il n'est plus 
necessaire de memoriser la quantite aleatoire r pour la conver- 
sion inverse. On pent alors ef facer cette quantite aleatoire r 
des que le nombre m a ete calcule (bloc 2 ' ) . On rend encore plus 
difficile le piratage eventuel de la donnee secrete s 
intervenant dans le calcul* 

Le brouillage ou masquage effectug selon 1" invention 
est particulierement simple a realiser. On doit simplement tenir 
compte du nombre de bits pris en conpte dans les operations avec 
le modulo de plus grande taille, pour dimensionner les circuits 
de traitement des nombres. 

Par exenple, pour un circuit de traitement effectuant 
classiquement une operation modulaire sur 1024 bits, on pent 
prevoir d'aj outer 64 bits au nombre traite. Les 64 bits repre- 
sentent la taille de la quantite aleatoire r mise en oeuvre. 

Dans une application particuli^re de 1' invention a une 
exponentiation modulaire, celle-ci presente un avantage parti- 
culler en siitplifiant considerablement les calculs par rapport 
au traitement classique de I'opgrande. En effet, vne 
exponentiation modulaire est generalement mise en oeuvre par une 
technique parfaitement connue de carre-multiplication qui 
consiste a operer autant de carres modulaires que le nombre de 
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bits de I'exposant et autant de produits que le nombre de bits a 
I'Stat 1 que conporte I'exposant. 

Bien entendu, la present e invention est susceptible de 
di verses variantes et modifications qa± apparaitront a 1 ' hoinme 
5 de I'art. En particulier, on poxirra choisir des dimensions 
quelconques pour les noiribres n et r. On effectuera gSneralement 
un compromis entre la taille du modulo et la taille de la quan- 
tity aleatoire. En pratique, la taille du modulo est souvent 
fixee par des imperatifs extemes (normes, etc.) . On accroit 

10 alors legerement (selon la taille choisie pour la quant ite alea- 
toire) le nombre de bits traites par le circuit. 

De plus, le procede de 1' invention pourra etre combine 
au procede classique pour des applications ou I'on est pret a 
sacrifier du temps de calcul pour accroitre le brouillage. 

15 En outre, on notera que 1 ' invention s » applique plus 

gen^ralement a n'importe quelle fonction modulaire (par exemple, 
addition, soustraction, multiplication, inversion modulaire, 
etc) et quels que soient les nombres de fonctions calcul§es et 
de donnees d'entr6e/ sortie, sa mise en oeuvre etant a la port^e 

20 de I'homme du metier a partir des indications f onctionnelles 
donn€es ci-dessus. On pourra se ref^rer, par exemple, a 
I'ouvrage "Handbook of implied Cryptography" de A.J, Menezes, 
P.C. van Oorschot et S.A. Vanstone, paru en 1997 aux editions 
CRC Press KLC (pages 297, 454 k 459 et 484) pour des exeraples 

25 d'algorithmes dits d'ELGAHAL et derives, mettant en oeuvre des 
operations modulaires, auxquels s' applique 1' invention. 

Enfin, la realisation d'un circuit de traitement 
mettant en oeuvre le procede de calcul et de brouillage de 
1' invention est a la portee de I'homme du metier a partir des 

30 indications f onctionnelles donnees ci-dessus. Lia mise en oeuvre 
de 1» invention ne requiert que des moyens classiques, qu'il 
s'agisse d'une mise en oeuvre logicielle par un microcontroleur 
ou d'une mise en oeuvre materielle par une machine d 'Stats en 
logique cablee. L' invention qui a et6 dScrite ci-dessus en 

35 faisant reference a des exemples de tallies de nombres indiquSes 
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SOUS forme de bits pourra^ bien entendu^ Stre transposSe d 
d'autres bases, pourvu que les moyens de calcul utilises 
acceptent de telles bases. 
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REVENDICATIQNS 

1. Procede de brouillage, au moyen d'xane quantity 
aleatoire (r) , d'un calcul mettant en oeuvre au raoins ime 
operation modulaire (3), caracterise en ce qu'il consiste : 

a multiplier un premier modulo (n) par ladite quantite 
5 aleatoire ; 

a prendre conime modulo de 1' operation, le resultat (m) 
de cette multiplication ; et 

a effectuer une reduction modulaire du resultat de 
1' operation, sur la base du premier modulo (n) . 
10 2. Procede selon la revendication 1, caracterisS en ce 

que ladite operation (3) met en oeuvre au moins une donnee (A) 
d» entree ainsi qu'au moins une donnee secrete (s) , 

3. Precede selon la revendication 2, caracteris6 en ce 
que ladite donn6e d' entree (A) est une donnee introduite dans un 

15 circuit electronique mettant en oeuvre le procede, 

4. ProcedS selon la revendication 2 ou 3, caract§rise 
en ce que ladite donnee secrete (s) est contenue dans \an circuit 
electronique mettant en oeuvre le procede. 

5. Circuit de brouillage d'un calcul realise par un 
20 circuit integre, caracterise en ce qu'il comprend des moyens 

pour mettre en oeuvre le procede selon I'vme quelconque des 
revendications 1 4. 
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